EUの個人情報保護規則「GDPR(一般データ保護規則)」の日本企業への影響

施行が迫る「GDPR（EU一般データ保護規則）」。「GDPR」とは何か？発効による日本企業への影響は？

今回は、GDPRの概要と日本企業に求められる対応をまとめてみました。

「GDPR」のアウトラインを押さえる

2018年5月25日「GDPR」が発効

「GDPR（General Data Protection Regulation：一般データ保護規則）」という言葉を、耳にしたことがあるかと思います。短くまとめると、"EU（欧州連合）で2018年5月から施行される個人情報保護に関する規則"です。

遠いヨーロッパの話で、かなり複雑な法体系ということもあって、"後回し"にされてきた印象もありますが、施行日が迫るにつれて、日本の企業も決して無縁ではないこと、そしてペナルティに対する理解も広まり、取組みを進める企業も増えています。

個人情報保護の先進地で生まれたGDPR

個人情報の保護に関しては、ヨーロッパは先進的な地域と言えます。あとで触れますが、日本の個人情報保護法に比べ、GDPRは"個人情報"に対する定義は細かく、取扱いに対してもより厳しい規定があります。

ヨーロッパで個人情報保護に関するルールが整備されたのは、1995年の「EUデータ保護指令」です。ここが今回の法整備の母体になっていますが、1995年はインターネットや携帯電話が今のように浸透する以前です。ECやインターネットバンキング、SNSなどが日常化した2010年代には、新たな法整備が必要になったことは想像に難くないでしょう。

このような背景から、2016年の欧州議会で、より強固、より詳細な個人情報の保護規定が必要とされ、正式に採択されたのがGDPRです。

・1995年 「EU データ保護指令」

・2018年 「GDPR（一般データ保護規則）」⇒"指令" から "規則"へ

「EUデータ保護指令」では、加盟各国が保護法を制定したため、国によって対応が異なっていました。ビジネスが複数の国をまたぐとき、この差異が障壁となるケースもありましたが、GDPRは加盟国に直接適用される法制度で、EU全体が同じルールで統括されることになります。

個人情報の「移転」と「処理」を規制

GDPRの目的は、EU域内に住む市民の個人情報を保護することで、情報の移転や処理を規制しています。例えば、域内で取得した住所氏名、メールアドレスなどの情報を、域外に持ち出すことは原則的に禁止されます（「域内」はEC加盟国28カ国にアイスランド、リヒテンシュタイン、ノルウェーを加えた「EEA：欧州経済領域」）。

GDPRの取り決めに違反した場合、最大でその企業の全世界での総売上の4％、または2,000万ユーロのうち大きい額が制裁金として課せられます。1ユーロ130円として、2,000万ユーロは26億円。大企業でも経営に深刻な打撃を与える額と言えるでしょう（※1）。

2018年5月以降、何事もなく過ぎていき、半年から1年後、ある日突然、EUの関係機関から訴状が届く。GDPRへの対応が疎かになった場合、その可能性はゼロではありません。

日本企業が留意すべき点は？

レギュレーションが適用される事業者

GDPRが適用されるのは、EEA域内に居住する市民の個人情報を扱う、個人事業主を含むすべての企業や団体です（※2）。例えば、

上の項目のうち3番目と4番目は要注意です。家電や食料品などの商品の販売、そしてネットショッピングやアプリを使ったゲームなどのオンラインサービスで、EEA市民の個人情報を取得する場合、事業拠点やサーバーが日本にあっても例外とはなりません。

海外に拠点を持つグローバル企業に限らず、EEAにある会社や団体と提携する企業、商品やサービスを販売する事業者にも適用されるとなれば、多くの日本企業が該当するのではないでしょうか。

GDPRで定める"個人情報"の範囲は？

GDPRで規定する個人情報は、日本の個人情報保護法と少し違います。個人情報保護法では、住所氏名、メールアドレスなど、個人を直接特定できる情報が対象ですが、GDPRは、IPアドレス、Webサイトにアクセスしたユーザーの識別などに使われる「Cookie」などのデータも含む場合があるため、ここは注意が必要です。

IPアドレスのようなオンライン上の識別子や各種サービスID、Cookieなどは、照合しないと個人とは結び付きませんが、技術的に個人の特定につながる可能性があるデータは、ほぼ含まれると考えた方がいいでしょう。

規制対象は「処理」と「移転」

GDPRの具体的な規制内容は、個人情報の「処理」と「移転」です。

・処理

記録、収集、参照、削除、組織化など、販売業務、サービス提供などで発生するいわゆる"データ処理"に含まれるプロセスと考えていいでしょう。例えば、クレジットカード情報の記録、顧客情報のグループ化、メールアドレスの参照、あるいは従業員データベースの作成などが含まれます。

・移転

個人情報を含むデータを、EEA域外にメールなどで送信するような操作が該当します。GDPRでは、移転先の国と地域が十分な安全対策を施しているという条件で許可されますが、日本は2018年4月時点で、この地域には含まれていません。

コラム前半で「個人情報のEEA域外への持ち出しは"原則的にできない"」と記しましたが、言い換えると、GDPRは「個人情報の処理、及びEEA域外への移転に際し、守らなければならない規約」と解釈できます（※3）。

GDPR対応の具体的な施策は？

GDPRの要件に沿った対応を

GDPRは複雑な法体系です。個人情報を「どのように保護しなければならないか」の考え方を示したもので、「ISMS（Information Security Management System）」や、カード業界を対象にした国際セキュリティ基準「PCI DSS（Payment Card Data Security Standard）」のように、情報管理体制のあり方やシステムの運用方法、技術的なアプローチまで踏み込んだものではありません。

GDPR対応では、それぞれの企業の業務体系、システムに合わせた対策が求められることになりますが、まずはGDPRが求めている情報保護の考え方について、ポイントを抽出しておきましょう。

プライバシーポリシーの見直しと体制整備を

日本企業がGDPR対応を進める場合、前述した「個人の権利保護の強化」や「GDPRで定める個人情報の種類」に沿ったプライバシーポリシーの見直しが必要になると思われます。同時に、「データ保護責任者」の設置など、GDPRが要求している安全管理体制の整備が求められるケースもあるでしょう。

企業にあった対応策を

日本企業に必要な対応の最大公約数は、プライバシーポリシーと情報保護・安全管理体制の見直し、そしてその基盤となる要素として、「情報セキュリティの強化」があります。

「ネットワークの保護」「エンドポイントセキュリティ」「メールセキュリティ」の強化、そして情報システムの状況をリアルタイムに分析する「SIEM（Security Information and Event Management）」などが有効に機能するはずです。

様々なサイト、ホワイトペーパーにより概要は明らかになってきたものの、まだどのような対応を行うべきか、どのような対応策がベストか、悩んでいる企業も少なくないと思います。今後のGDPRの動向に注意する必要がありそうです。

GDPR対応には、企業それぞれの業務形態、情報システムの状態に応じたシステムの強化、カスタマイズが必要です。セキュリティ環境に関する構築・運用などＪＢサービスにご相談ください。